Orientations sur la sécurité et la gouvernance des technologies de l'information et de la communication - | Eiopa
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
EIOPA-BoS-20/600
Orientations sur la sécurité et la
gouvernance des technologies de
l’information et de la communication
EIOPA – Westhafen Tower, Westhafenplatz 1 - 60327 Frankfurt – Allemagne - Tél.: + 49 69-951119-20;
Fax. + 49 69-951119-19; adresse électronique: info@eiopa.europa.eu site: www.eiopa.europa.euSommaire
Contexte .................................................................................................. 3
Introduction............................................................................................. 6
Définitions ................................................................................................6
Orientation 1 – Proportionnalité ......................................................................9
Orientation 2 — Les TIC dans le cadre du système de gouvernance..........................9
Orientation 3 – Stratégie en matière de TIC.......................................................9
Orientation 4 — Risques en matière de TIC et de sécurité dans le cadre du système de
gestion des risques.................................................................................... 10
Orientation 5 - Audit .................................................................................. 11
Orientation 6 — Politique et mesures en matière de sécurité de l’information............ 11
Orientation 7 - Fonction de sécurité de l’information .......................................... 11
Orientation 8 — Sécurité logique ................................................................... 12
Orientation 9 — Sécurité physique................................................................. 13
Orientation 10 – Sécurité des opérations en matière de TIC ................................. 13
Orientation 11 — Surveillance de la sécurité .................................................... 14
Orientation 12 – Revues, évaluations et tests de la sécurité de l’information ............ 14
Orientation 13 — Formation et sensibilisation à la sécurité de l’information .............. 15
Orientation 14 – Gestion des opérations des systèmes d’information ...................... 15
Orientation 15 — Gestion des incidents et des problèmes liés aux TIC .................... 16
Orientation 16 – Gestion des projets de TIC..................................................... 17
Orientation 17 — Acquisition et développement de systèmes de TIC....................... 17
Orientation 18 – Gestion des changements liés aux TIC ...................................... 18
Orientation 19 – Gestion de la continuité des activités ........................................ 18
Orientation 20 — Analyse de l’impact sur les activités (AIA) ................................. 18
Orientation 21 – Planification de la continuité des activités .................................. 19
Orientation 22 — Plans de réponse et de reprise ............................................... 19
Orientation 23 - Mise à l’épreuve des plans ...................................................... 20
Orientation 24 — Communication en situation de crise........................................ 20
Orientation 25 — Sous-traitance des services et des systèmes de TIC .................... 20
Règles en matière de conformité et de déclaration ...................................... 22
Disposition finale relative à la révision ...................................................... 22
2/22Contexte
1. Conformément à l’article 16 du règlement (UE) nº 1094/2010, l’AEAPP publie des
orientations et des recommandations afin de fournir des indications aux autorités
compétentes et aux entreprises d’assurance et de réassurance sur la manière dont
les régles sur la sécurité et la gouvernance des technologies de l’information et de
la communication doivent être appliquées. Ce document servira à établir des
pratiques de surveillance cohérentes, efficientes et efficaces et d’assurer
l’application commune, uniforme et cohérente du droit de l’Union.
2. Conformément à l’article 16, paragraphe 3, dudit règlement, les autorités
compétentes et les entreprises d’assurance et de réassurance doivent tout mettre
en œuvre pour respecter ces orientations et recommandations.
3. L’AEAPP a a identifié la nécessité de développer des orientations spécifiques sur la
sécurité et la gouvernance des technologies de l’information et de la communication
(TIC) en relation avec les articles 41 et 44 de la directive 2009/138/CE afin de
répondre au plan d’action Fintech de la Commission européenne [COM(2018) 0109
final], au plan de convergence en matière de surveillance de l’AEAPP pour la période
2018-20191 et en collaboration avec plusieurs autres parties prenantes 2 .
4. Comme indiqué dans l’avis conjoint des autorités européennes de surveillance à la
Commission européenne, les orientations de l’AEAPP relatives au système de
gouvernance ne prennent pas assez en charge la gestion des risques liés aux
technologies de l’information et de la communication (y compris les risques liés à
la cybercriminalité). Ainsi les présentes orientations précisent les éléments
essentiels reconnus comme faisant partie intégrante de la gouvernance et sécurité
des systèmes de TIC.
5. L’analyse de la situation (législative) actuelle dans l’Union européenne dans le
contexte de l’avis conjoint susmentionné a montré qu’une majorité des États
membres de l’UE ont élaboré des règles nationales en matière de sécurité et de
gouvernance des TIC. Bien que les exigences soient similaires, le cadre
réglementaire demeure fragmenté. En outre, une enquête portant sur les pratiques
actuelles en matière de surveillance a révélé une large disparité de pratiques, allant
d’une « absence de surveillance spécifique » à une « surveillance forte » (avec
notamment des « contrôles sur pièces » et des « contrôles sur place »).
6. En outre, la complexité des TIC ne cesse de croître et la fréquence des incidents
(ce qui inclut les incidents liés à la cybersécurité) est également en hausse, tout
comme l’impact négatif de ces incidents sur le fonctionnement des entreprises.
C'est pourquoi la gestion des risques liés aux TIC et à la sécurité est fondamentale
pour que l'entreprise atteigne ses objectifs stratégiques, institutionnels,
opérationnels et de réputation.
7. En outre, dans l’ensemble du secteur de l’assurance, ce qui inclut les modèles
d’activité traditionnels et innovants, on constate une dépendance croissante aux
TIC dans la fourniture des services d’assurance ainsi que dans le fonctionnement
opérationnel des entreprises, citons par exemple la transition numérique du secteur
de l’assurance (InsurTech, IoT,etc.) et l’interconnexion complexe des entreprise
(internet, connexions mobiles et sans fil, et réseaux étendus). Cela rend les
opérations des entreprises plus vulnérables aux incidents de sécurité, y compris
1 https://www.e iopa.europa.eu/supervisory-convergence-plans-and-reports_en
2 Le rapport publié par l’AEAPP e n ré ponse au plan d’action de la C ommission e uropéenne pour le s te chnologies
financières peut ê tre consulté ici
3/22aux cyberattaques. Il est donc important de veiller à ce que les entreprises soient
correctement préparées à gérer leurs risques en matière de TIC et de sécurité.
8. En outre, reconnaissant la nécessité pour les entreprises d’être préparées au risque
de cybercriminalité3 et afin d’instaurer un cadre solide en matière de cybersécurité,
les présentes orientations couvrent également la cybersécurité dans le cadre des
mesures de sécurité de l’information prises par l’entreprise. Si les présentes
orientations reconnaissent que la cybersécurité devrait être traitée dans le cadre
de la gestion globale des risques liés aux TIC et à la sécurité d’une entreprise, il
est important de souligner que les cyberattaques présent ent certaines
caractéristiques particulières, lesquelles devraient être prises en considération pour
garantir que les mesures relatives à la sécurité de l’information réduisent le risque
de cybercriminalité :
a) les cyberattaques sont souvent plus difficiles à gérer (c.-à-d. à identifier,
protéger, détecter, réagir et rétablir le service ) que la plupart des autres
sources de risques liés aux TIC et à la sécurité et il est également difficile de
déterminer l’ampleur des dommages
b) certaines cyberattaques peuvent rendre inefficaces les dispositifs communs
de gestion des risques et de continuité des activités, ainsi que les procédures
de rétablissement après sinistre, car elles peuvent propager des programmes
malveillants à des systèmes de sauvegarde afin de les rendre indisponibles ou
de corrompre les données de sauvegarde ;
c) les prestataires de services, les courtiers, les agents (gestionnaires) et les
intermédiaires peuvent devenir des vecteurs de propagation de
cyberattaques. Des logiciels malveillants viraux peuvent utiliser les
interconnexions de télécommunication pour pénétrer les systèmes TIC de
l’entreprise. En conséquence, une entreprise interconnectée, dont la sécurité
individuelle est réduite, peut devenir vulnérable et source de propagation du
risque, et ainsi avoir une incidence systémique. En observant le principe du
maillon faible, la cybersécurité ne devrait pas seulement être une
préoccupation pour les principaux acteurs du marché ou fournisseurs de
services critiques.
9. Les présentes orientations ont pour objectif :
a) fournir aux intervenants du marché des éclaircissements et une description
des capacités minimales attendues d'information et de cybersécurité, c'est -à-
dire le niveau de référence en matière de sécurité;
b) d’éviter les potentiels arbitrages réglementaires ;
c) de favoriser la convergence en matière de surveillance concernant les attentes
et les processus applicables en matière de sécurité et de gouvernance des
TIC, ladite convergence étant considérée comme fondamentale à une bonne
gestion des risques liés aux TIC et à la sécurité.
3 Pour obtenir une définition du risque de cybercriminalité, se re porter au « C yber Le xicon » (C yber Lexique) du CSF,
du 12 novembre 2018, https://www.fsb.org/wp -content/uploads/P121118-1.pdf
4/22Orientations sur la sécurité et la
gouvernance des technologies de
l’information et de la communication
5/22Introduction
1. Conformément à l’article 16 du règlement (UE) nº 1094/20104 , l’AEAPP publie des
orientations afin de fournir des indications aux entreprises d’assurance et de
réassurance (ci-après conjointement dénommées la ou les « entreprises ») sur la
manière dont elles devraient appliquer les exigences en matière de gouvernance
énoncées dans la directive 2009/138/CE5 (ci-après la « directive Solvabilité II »)
et dans le règlement délégué (UE) nº 2015/35 de la Commission 6 (ci-après le
« règlement délégué ») dans le contexte de la sécurité et de la gouvernance des
technologies de l’information et de la communication (ci-après les « TIC »). Pour
ce faire, les présentes orientations s’appuient sur les dispositions relatives à la
gouvernance prévues aux articles 41, 44, 46, 47, 132 et 246 de la directive
Solvabilité II ainsi qu’aux articles 258 à 260, 266, 268 à 271 et 274 du règlement
délégué. Par ailleurs, les présentes orientations s’appuient également sur les
indications fournies par les orientations de l’AEAPP relatives au système de
gouvernance (EIOPA-BoS-14/253)7 ainsi que par les orientations de l’AEAPP
relatives à la sous-traitance à des prestataires de services en nuage (EIOPA-BoS-
19/270)8 .
2. Les orientations s’appliquent aux entreprises individuelles et, par analogie, aux
groupes 9 .
3. Les entreprises et les autorités compétentes devraient, lorsqu’elles appliquent les
présentes orientations ou en contrôlent le respect, prendre en compte le principe
de proportionnalité1 0 , lequel devrait garantir que les dispositifs de gouvernance, y
compris ceux liés à la sécurité et à la gouvernance des TIC, sont proportionnés à
la nature, à l’ampleur et à la complexité des risques sous-jacents.
4. Les présentes orientations devraient être lues en combinaison avec les orientations
de l’AEAPP relatives au système de gouvernance et des orientations de l’AEAPP
relatives à la sous-traitance à des prestataires de services en nuage et sans
préjudice de celles-ci ni des obligations réglementaires énumérées au paragraphe
1. Les présentes orientations visent à être neutres sur le plan technologique et
méthodologique.
Définitions
5. En l’absence de définition dans les présentes orientations, les termes s’entendent
tels qu’ils sont définis dans les actes législatifs visés dans l’introduction.
6. Les définitions suivantes s’appliquent aux fins des présentes orientations :
4 R è glement (UE) nº 1094/2010 du Parlement e uropéen e t du C onseil du 24 novembre 2010 instituant une Autorité
e uropéenne de surveillance (Autorité e uropéenne des assurances e t des pensions professionnelles), m odifiant la décision
nº 716/2009/CE e t abrogeant la décision 2009/79/CE de la C ommission (JO L 331 du 15.12.2010, p. 48).
5 Dire ctive 2009/138/CE du Parlement e uropéen e t du C onseil du 25 novembre 2009 sur l’accè s aux activités de
l’assurance et de la ré assurance et leur exercice (solvabilité II) (JO L 335 du 17.12.2019, p. 1).
6 R è glement délégué (UE) 2015/35 de la C ommission du 10 octobre 2014 com plétant la dire ctive 2009/138/CE du
Parle ment e uropéen e t du C onseil s ur l’accè s aux activités de l’assurance e t de la ré assurance e t le ur e x e rcice
(solvabilité II) (JO L 12 du 17.1.2015, p. 1).
7 https://www.e iopa.europa.eu/con tent/guidelines-system-governance_fr?source =search
8 https://www.e iopa.europa.eu/content/eiopa-consults-guidelines-outsourcing-cloud-service-
providers_en?source=search
9 Article 212, paragraphe 1, de la dire ctive 2009/138/CE.
1 0 Article 29, paragraphe 3, de la directive 2009/138/CE.
6/22Propriétaire de ressources Personne ou entité ayant la responsabilité et
l’autorité d’un actif informatique.
Disponibilité Propriété désignant la capacité d’accessibilité et
d’utilisation à la demande (moment opportun) par
une entité autorisée.
Confidentialité
Propriété selon laquelle les informations ne sont
pas mises à la disposition ni divulguées à des
personnes, entités, processus ou systèmes non
autorisés.
Cyberattaque Tout type de piratage conduisant à une tentative
offensive/malveillante de détruire, exposer,
modifier, désactiver, voler ou obtenir un accès non
autorisé à un actif d’information ciblant les
systèmes TIC ou d’en faire un usage non autorisé.
Cybersécurité Préservation de la confidentialité, de l’intégrité et
de la disponibilité des informations et/ou des
systèmes d’information par l’intermédiaire d’un
dispositif de sécurité.
Actifs informationnels Logiciels ou équipement informatique présents
dans le système d’information de l’entreprise.
Projets de TIC Tout projet, ou toute partie d’un projet, où les
systèmes et services TIC sont modifiés, remplacés
ou mis en œuvre.
Risque informatique et de Risque de perte découlant d’une violation de la
sécurité
confidentialité, d’une défaillance de l’intégrité des
systèmes et des données, de l’inadéquation ou de
l’indisponibilité des systèmes et des données, ou
de l’impossibilité de modifier les technologies de
l’information dans un délai et pour des coûts
raisonnables, lorsque l’environnement ou les
exigences « métiers » changent (agilité). Cela
inclut les risques cybernétiques ainsi que les
risques de sécurité de l’informationrésultant de
processus internes inadéquats ou défaillants, ou
bien d’événements externes, y compris de
cyberattaques ou d’une sécurité physique
inadéquate.
Sécurité de l’information Préservation de la confidentialité, de l’intégrité et
de la disponibilité des systèmes d’informations
et/ou d’information. En outre, d’autres propriétés,
telles que l’authenticité, la responsabilité, la non-
répudiation et la fiabilité, peuvent également être
impliquées.
7/22Services de TIC Services fournis par l’intermédiaire des systèmes
de TIC et des prestataires de services à un ou
plusieurs utilisateurs internes ou externes.
Systèmes de TIC Ensemble d’applications, de services, d’actifs
informatiques, ou d’autres composantes de
traitement de l’information, y compris
l’environnement opérationnel.
Actif d’information Ensemble d’informations, tangibles ou non, qui
mérite d’être protégée.
Intégrité Propriété désignant l’exactitude et l’exhaustivité.
Incident opérationnel ou de Un événement unique ou une série d’événements
sécurité imprévus liés qui ont ou auront probablement un
impact négatif sur l’intégrité, la disponibilité et la
confidentialité des systèmes et services TIC.
Prestataire de services Désigne un tiers exécutant au titre d’un accord de
sous-traitance tout ou partie d’une procédure, d’un
service ou d’une activité.
Tests de pénétration basés Tentative contrôlée de compromettre la cyber-
sur les risques (TLPT) résilience d’une entité en simulant les tactiques,
les techniques et procédures des acteurs de la
menace réelle. Ces essais s’appuient sur des
renseignements ciblés sur les menaces et se
concentrent sur les personnes, les processus et la
technologie d’une entité, avec un minimum de
connaissances préalables et d’impact sur les
opérations.
Vulnérabilité Faiblesse, sensibilité ou faille d’un actif ou d’un
logiciel qui est susceptible d’être exploitée par un
ou plusieurs attaquants.
7. Ces orientations entrent en application au 1er juillet 2021.
8/22Orientation 1 – Proportionnalité
8. Les entreprises devraient respecter les dispositions stipulées dans les présentes
orientations de façon proportionnée eu égard à la nature, à l’ampleur et à la
complexité des risques inhérents à leur activité.
Orientation 2 — Les TIC dans le cadre du système de gouvernance
9. L’organe d’administration, de gestion ou de contrôle (ci-après « l’AMSB ») devrait
veiller à ce que le système de gouvernance des entreprises, notamment le système
de gestion des risques et de contrôle interne, gère de manière adéquate les risques
liés aux TIC et à la sécurité de l’information.
10. L’AMSB devrait veiller à ce que les entreprises disposent d’un nombre d’employés
suffisant, aux compétences adéquates, pour répondre à leurs besoins en termes
opérationnels, de gestion des risques, et de mise en œuvre de la stratégie en
matière de TIC. Par ailleurs, le personnel devrait recevoir régulièrement une
formation adéquate sur la sécurité de l’information et les risques associés , ainsi que
le prévoit l’orientation 13.
11. L’AMSB devrait veiller à ce que les ressources allouées soient suffisantes pour
répondre aux besoins susmentionnés.
Orientation 3 – Stratégie en matière de TIC
12. L’AMSB assume la responsabilité globale de définir, d’approuver, de superviser et
de communiquer sur la mise en œuvre de la stratégie écrite en matière de TIC et
de sécurité dans le cadre de la stratégie générale de l’entreprise.
13. La stratégie en matière de TIC devrait au moins définir :
a) la façon dont les TIC des entreprises devraient évoluer afin de soutenir et
mettre en œuvre leur stratégie globale, s’agissant notamment de l’évolution
de la structure organisationnelle, des modèles commerciaux, du système de
TIC et des principales dépendances à l’égard de prestataires de services ;
b) l’évolution de l’architecture des TIC, y compris les dépendances vis-à-vis des
prestataires de services ; et
c) des objectifs clairs en matière de sécurité de l’information, dédiés aux
systèmes de TIC ainsi qu’aux services, au personnel et aux processus des TIC.
14. Les entreprises devraient veiller à ce que la stratégie en matière de TIC soit mise
en œuvre, adoptée et communiquée en temps utile au personnel et aux prestataires
de services concernés, selon le cas et lorsque cela présente un intérêt.
15. Les entreprises devraient également instaurer un processus permettant de
surveiller et de mesurer l’efficacité de la mise en œuvre de leur stratégie en matière
de TIC. Ce processus devrait être révisé et actualisé à intervalles réguliers.
9/22Orientation 4 — Risques en matière de TIC et de sécurité dans le cadre
du système de gestion des risques
16. L’AMSB a la responsabilité générale de mettre en place un système efficace de
gestion des risques liés aux TIC et à la sécurité dans le cadre du système global de
gestion des risques de l’entreprise. Cela inclut la détermination de la tolérance au
risque face à ces risques, conformément à la stratégie de l’entreprise en matière de
risques, ainsi que la rédaction d’un rapport écrit régulier consacré au résultat du
processus de gestion des risques qui sera adressé à l’AMSB.
17. Dans le cadre de leur système global de gestion des risques, les entreprises
devraient, s’agissant des risques liés aux TIC et à la sécurité (tout en définissant
les exigences en matière de protection des TIC décrites ci-dessous), tenir compte à
tout le moins des éléments suivants :
a) les entreprises devraient établir et mettre régulièrement à jour une
cartographie de leurs processus et activités, de leurs fonctions « métiers » ,
de leurs rôles et de leurs ressources (par exemple, ressources d’information
et de TIC) dans le but de déterminer leur importance et leurs
interdépendances au regard des risques liés aux TIC et à la sécurité ;
b) les entreprises devraient recenser et mesurer tous les risques liés aux TIC et
à la sécurité pertinents auxquels elles sont exposées et classer les processus
et activités, fonctions, rôles et ressources de leur entreprise identifiés (par
exemple, ressources d’information et de TIC) en fonction du niveau de risque.
Les entreprises devraient également évaluer les exigences de protection, à
tout le moins, de la confidentialité, de l’intégrité et de la disponibilité de ces
processus et activités, fonctions, rôles et ressources de l’entreprise (par
exemple, ressources d’information et de TIC). Les propriétaires de ressources,
auxquels il incombe de classer les ressources, devraient être identifiés ;
c) les méthodes utilisées pour déterminer le niveau de risque ainsi que le niveau
de protection requis, notamment en ce qui concerne les objectifs de protection
de l’intégrité, de la disponibilité et de la confidentialité, devraient garantir que
les exigences de protection qui en découlent sont cohérentes et exhaustives ;
d) l’évaluation des risques liés aux TIC et à la sécurité devrait être effectuée sur
la base des critères définis en matière de risques liés aux TIC et à la sécurité,
en tenant compte du niveau de risque des processus et activités, des
fonctions, rôles et ressources de l’entreprise (par exemple, ressources
d’information et de TIC), de l’ampleur des vulnérabilités connues et des
incidents antérieurs ayant eu une incidence sur l’entreprise ;
e) l’évaluation des risques liés aux TIC et à la sécurité devrait être réalisée et
documentée à intervalles réguliers. Cette évaluation devrait également être
effectuée en amont de tout changement majeur dans l’infrastructure, les
processus ou les procédures affectant les processus et activités, les fonctions,
les rôles et les ressources de l’entreprise (par exemple, les ressources
d’information et de TIC) ;
f) en s’appuyant sur leur évaluation des risques, les ent reprises devraient, a
minima, définir et mettre en œuvre des mesures permettant de gérer les
risques liés aux TIC et à la sécurité qui ont été identifiés et de protéger les
ressources d’information en fonction de leur classement. Cela devrait inclure
la définition de mesures destinées à gérer les risques résiduels restants.
10/2218. Les résultats du processus de gestion des risques liés aux TIC et à la sécurité
devraient être approuvés par l’AMSB et intégrés dans le processus de gestion du
risque opérationnel dans le cadre de la gestion globale des risques dans les
entreprises.
Orientation 5 - Audit
19. La gouvernance, les systèmes et les processus des entreprises concernant leurs
risques en matière de TIC et de sécurité devraient faire l’objet d’un audit périodique,
conformément au plan d’audit des entreprises 1 1 , par des auditeurs disposant des
connaissances, des compétences et de l’expertise suffisantes en matière de risques
liés aux TIC et à la sécurité de façon à fournir à l’AMSB, en toute indépendance, une
garantie de leur efficacité. La fréquence et les priorités de ces audits devraient être
proportionnées aux risques concernés en matière de TIC et de sécurité.
Orientation 6 — Politique et mesures en matière de sécurité de
l’information
20. Les entreprises devraient élaborer une politique écrite en matière de sécurité de
l’information approuvée par l’organe de direction, qui devrait définir les principes et
règles de haut niveau visant à protéger la confidentialité, l’intégrité et la disponibilité
des informations des entreprises afin de soutenir la mise en œuvre de la stratégie
en matière de TIC.
21. La politique devrait inclure une description des principaux rôles et responsabilités
en matière de gestion de la sécurité de l’information, définir les exigences
applicables au personnel, ainsi qu’aux processus et aux technologies en matière de
sécurité de l’information, en précisant que le personnel, à tous les niveaux, est
responsable d’assurer la sécurité de l’information au sein des entreprises.
22. Ladite politique devrait être communiquée au sein de l’entreprise et s’appliquer à
l’ensemble du personnel. Le cas échéant et s’il y a lieu, la politique relative à la
sécurité de l’information, ou certaines parties de cette dernière, devrait également
être communiquée et appliquée par les prestataires de services.
23. Sur la base de cette politique, les entreprises devraient établir et mettre en œuvre
des procédures et des mesures de sécurité de l’information plus spécifiques , visant
notamment, à maîtriser les risques liés aux TIC et à la sécurité auxquels elles sont
exposées. Ces procédures et mesures de sécurité de l’information devraient inclure,
selon le cas, chacun des processus décrits dans les présentes orientations.
Orientation 7 - Fonction de sécurité de l’information
24. Les entreprises devraient instaurer, dans le cadre de leur système de gouvernance
et conformément au principe de proportionnalité, une fonction de sécurité de
l’information, dont les responsabilités seraient confiées à une personne désignée.
Les entreprises devraient garantir l’indépendance et l’objectivité de la fonction de
sécurité de l’information en la séparant judicieusement des processus liés au
développement et aux opérations de TIC. Cette fonction devrait rendre compte à
l’AMSB.
25. De manière générale, il incomberait à la fonction de sécurité de l’information de :
11
Article 271 du rè glement délégué.
11/22a) soutenir l’AMSB dans la définition et le maintien de la politique de sécurité de
l’information à l’intention des entreprises et contrôler son déploiement ;
b) rendre compte à l’AMSB et la conseiller, de façon régulière et sur une base ad
hoc, au sujet de l’état de la sécurité de l’information et son évolution ;
c) suivre et examiner la mise en œuvre des mesures de sécurité de
l’information ;
d) veiller à ce que les exigences en matière de sécurité de l’information soient
respectées lors du recours à des prestataires de services ;
e) veiller à ce que tous les employés et prestataires de services qui accèdent à
l’information et aux systèmes soient correctement informés de la politique de
sécurité de l’information, par exemple au moyen de séances de formation et
de sensibilisation à la sécurité de l’information ;
f) coordonner l’examen des incidents opérationnels ou de sécurité et rendre
compte des incidents pertinents à l’AMSB.
Orientation 8 — Sécurité logique
26. Les entreprises devraient définir, documenter et mettre en œuvre des procédures
de contrôle d’accès logique ou de sécurité logique (gestion de l’identité et de l’accès)
conformément aux exigences de protection visées dans l’orientation 4. Ces
procédures devraient être mises en œuvre, appliquées, suivies et révisées
périodiquement ; elles devraient également inclure des contrôles pour le suivi des
anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants
en œuvre (à ces fins, le terme « utilisateur » inclut les utilisateurs techniques) :
a) Besoin d’en connaître, principe du moindre privilège et séparation des
fonctions : les entreprises devraient gérer les droits d’accès, y compris d’accès
à distance, aux ressources d’information et à leurs systèmes de soutien selon
le principe du « besoin d’en connaître ». Les utilisateurs devraient recevoir les
droits d’accès minimum strictement requis pour exécuter leurs fonctions
(principe du « moindre privilège »), c’est-à-dire pour prévenir tout accès non
justifié à des données ou empêcher que l’allocation de droits d’accès combinés
puisse servir à contourner les contrôles (principe de la « séparation des
fonctions ») ;
b) Identification de l’utilisateur : les entreprises devraient limiter, autant que
possible, l’utilisation de comptes utilisateurs génériques et partagés et veiller
à ce que les utilisateurs puissent être identifiés et associés à une personne
physique responsable ou à une tâche autorisée pour les actions qu’ils mènent
dans les systèmes de TIC à tout moment ;
c) Droits d’accès privilégiés : les entreprises devraient mettre en œuvre des
contrôles solides sur l’accès privilégié aux systèmes, en limitant strictement
et en surveillant étroitement les comptes assortis de droits élevés d’accès aux
systèmes (par exemple les comptes administrateur) ;
d) Accès à distance : afin de garantir une communication sécurisée et de réduire
les risques, l’accès administratif à distance à des systèmes de TIC ayant une
importance critique devrait être accordé uniquement selon le « besoin d’en
connaître » et lorsque des mesures d’authentification forte sont appliquées ;
e) Enregistrement des activités de l’utilisateur : les activités des utilisateurs
devraient être enregistrées et surveillées de manière proportionnée au risque,
ce qui inclut, au minimum, les activités des utilisateurs privilégiés. Les
12/22registres d’accès devraient être sécurisés afin de prévenir toute modification
ou suppression non autorisée, et conservés durant une période proportionnée
au niveau de criticité des fonctions « métiers », des fonctions « supports » et
des actifs informationnels, sans préjudice des exigences de conservation
définies dans le droit de l’UE ou le droit national. Les entreprises devraient
utiliser ces informations pour faciliter l’identification et l’analyse d’activités
anormales ayant été détectées dans la fourniture de services ;
f) Gestion des accès : les droits d’accès devraient être accordés, retirés ou
modifiés en temps utile, selon des procédures d’approbation prédéfinies
incluant le propriétaire fonctionnel des informations auquelles l’utilisateur
accède. Si l’accès n’est plus nécessaire, les droits d’accès devraient être
rapidement retirés ;
g) Réévalutaion des accès : les droits d’accès devraient périodiquement être
réexaminés afin de veiller à ce que les utilisateurs ne possèdent pas de
privilèges excessifs et à ce que les droits d’accès soient retirés/supprimés dès
lors qu’ils ne sont plus requis ;
h) L’octroi, la modification et la révocation des droits d’accès devraient être
documentés de manière à faciliter la compréhension et l’analyse ; et
i) Méthodes d’authentification : les entreprises devraient appliquer des
méthodes d’authentification suffisamment robustes pour assurer, de façon
appropriée et efficace, que les politiques et procédures de contrôle d’accès
sont respectées. Les méthodes d’authentification devraient être
proportionnées au niveau de criticité des systèmes de TIC, des informations
ou des processus auxquels l’utilisateur accède. Au minimum, cela devrait
inclure des mots de passe complexes ou des méthodes d’authentification plus
fortes (comme l’authentification à deux facteurs), en fonction des risques
pertinents.
27. L’accès aux données et aux systèmes de TIC via des applications devrait se limiter
au minimum requis pour fournir le service concerné.
Orientation 9 — Sécurité physique
28. Les mesures de sécurité physique des entreprises (par exemple, la protection contre
les pannes d’électricité, les incendies, les inondations et les accès physiques non
autorisés) devraient être définies, documentées et mises en œuvre pour protéger
leurs locaux, leurs centres de données et les zones sensibles contre tout accès non
autorisé et contre tous les dangers environnementaux.
29. L’accès physique aux systèmes de TIC devrait être accordé uniquement aux
personnes autorisées. L’autorisation devrait être accordée en fonction des tâches et
responsabilités de la personne concernée, en se limitant à des personnes
correctement formées et surveillées. L’accès physique devrait être régulièrement
réexaminé afin de veiller à ce que les droits d’accès qui ne sont plus nécessaires
soient rapidement retirés/supprimés.
30. Des mesures de protection adéquates contre les dangers environnementaux
devraient être proportionnées à l’importance des bâtiments et au caractère critique
des opérations ou des systèmes de TIC hebergés dans ces bâtiments.
Orientation 10 – Sécurité des opérations en matière de TIC
31. Les entreprises devraient mettre en œuvre des procédures permettant de prevenir
les incidents de sécurité (garantir la confidentialité, l’intégrité et la disponibilité des
13/22systèmes) et de minimiser l’impact de ces incidents sur la prestation des services
informatiques. Ces procédures devraient inclure les mesures suivantes :
a) identification des vulnérabilités potentielles, qui devraient être évaluées et
résolues en garantissant que les systèmes de TIC sont à jour, y compris les
logiciels fournis par les entreprises à leurs utilisateurs internes et externes,
en installant les correctifs de sécurité essentiels, y compris en mettant à jour
les définitions antivirus, ou en mettant des contrôles compensatoires en
œuvre ;
b) mise en œuvre de configuration sécurisée de référence pour toutes les
composantes revêtant une importance critique, telles que les systèmes
d’exploitation, les bases de données, les routeurs ou les commutateurs ;
c) segmentation réseau, systèmes de prévention des fuites de d onnées et
chiffrement du trafic du réseau (conformément à la classification des actifs
d’information) ;
d) mise en œuvre de la protection des terminaux, incluant les serveurs, postes
de travail et appareils mobiles. Les entreprises devraient évaluer si les
terminaux sont conformes aux normes de sécurité qu’elles ont définies avant
de lui accorder l’accès au réseau de l’entreprise ;
e) mise en place de mécanismes de contrôle de l’intégrité des systèmes de TIC;
f) chiffrement des données au repos et en transit (conformément à la
classification des données).
Orientation 11 — Surveillance de la sécurité
32. Les entreprises devraient établir et mettre en œuvre des processus et des
procédures afin de surveiller en permanence les activités ayant une incidence sur la
sécurité de l’information des entreprises. Cette surveillance continue devrait couvrir
au minimum les éléments suivants :
a) les éléments d’origine externes et internes, en particulier concernant les
fonctions métiers et support liés à la gestion des TIC ;
b) les transactions réalisées par des prestataires de services, d’autres entités ou
des utilisateurs internes ;
c) les menaces potentielles internes et externes.
33. Pour effectuer cette surveillance, les entreprises devraient mettre en œuvre des
dispositifs appropriés et efficaces de détection, de signalement et de réponse à des
activités et comportements anormaux. Par exemple, pour detecter des intrusions
physiques ou logiques, des vols ou altérations des données, ou encore des
executions de codes malveillants ou l’exploitation de vulnérabilités matérielles ou
logicielles.
34. Les éléments récupérés par les dispositifs de surveillance devraient egalement
permettre à l’entreprise d’analyser la nature des incidents opérationnels ou de
sécurité, d’identifier des tendances et d’etayer les enquêtes internes..
Orientation 12 – Revues, évaluations et tests de la sécurité de
l’information
35. Les entreprises devraient procéder à divers revues, évaluations et tests en matière
de sécurité de l’information, afin d’assurer une identification efficace des
vulnérabilités ,au sens large, présentes au sein de leurs systèmes et services de
14/22TIC. Par exemple, les entreprises peuvent mener des analyses des faiblesses par
rapport aux normes de sécurité de l’information, des examens de conformité, des
audit internes et externes sur les systèmes d’information ou des examens de la
sécurité physique.
36. Les entreprises devraient établir et mettre en œuvre un cadre de test de la sécurité
de l’information validant la solidité et l’efficacité des mesures de sécurité de
l’information et veiller à ce que ce cadre tienne compte des menaces et des
vulnérabilités décelées grâce à la surveillance des menaces et au processus
d’évaluation des risques liés aux TIC et à la sécurité.
37. Les tests devraient être menés de manière sécurisée par des testeurs indépendants
disposant des connaissances, des compétences et d’une expertise suffisantes en
sécurité de l’information.
38. Les entreprises devraient tester les mesures de sécurité de manière récurrente. La
portée, la fréquence et la méthode des tests (tels que les tests d’intrusion fondés
sur la menace) devraient être proportionnées au niveau de risque identifié pour les
processus et systèmes de l’entreprise. S’agissant de tous les systèmes de TIC ayant
une importance critique, ces tests devraient être effectués tous les ans.
39. Les entreprises devraient veiller à ce que les mesures de sécurité soient testées en
cas de modification de l’infrastructure, des processus ou des procédures et si des
changements sont apportés en raison d’incidents opérationnels ou de sécurité
majeurs ou de la mise en circulation d’applications critiques nouvelles ou fortement
modifiées. Les entreprises devraient surveiller et évaluer les résultats des tests de
sécurité et mettre à jour leurs mesures de sécurité en conséquence, sans retard
injustifié dans le cas des systèmes de TIC ayant une importance critique.
Orientation 13 — Formation et sensibilisation à la sécurité de
l’information
40. Les entreprises devraient établir des programmes de formation à la sécurité de
l’information pour l’ensemble du personnel, y compris l’AMSB, afin de s’assurer
qu’ils soient formés à l’exécution de leurs tâches et responsabilités afin de limiter
l’erreur humaine, le vol, la fraude, les abus ou les pertes. Les entreprises devraient
veiller à ce que le programme de formation dispense régulièrement des formations
à l’ensemble du personnel.
41. Les entreprises devraient veiller à ce que tous les membres du personnel, y compris
l’AMSB, soient éduqués et sensibilisés régulièrement au risque de sécurité
informatique afin de savoir comment réagir.
Orientation 14 – Gestion des opérations des systèmes d’information
42. Afin de suivre leur stratégie en matière de TIC, les entreprises devraient gérer leurs
activités en s’appuyant sur la mise en œuvre des processus et procédures
documentés en particulier pour les processus, procédures et opérations de TIC
revêtant une importance critique. Ces documents devraient définir la manière dont
les entreprises exploitent, surveillent et contrôlent les services et systèmes de TIC.
43. Les entreprises devraient mettre en œuvre des procédures d’enregistrement et de
surveillance des opérations de TIC ayant une importance critique afin de détecter,
analyser et corriger les erreurs.
44. Les entreprises devraient tenir à jour un inventaire de leurs actifs informatiques.
L’inventaire des actifs informatiques devrait être suffisamment détaillé pour
15/22permettre d’identifier rapidement un actif informatique, son emplacement, sa
classification de sécurité et son propriétaire.
45. Les entreprises devraient surveiller et gérer le cycle de vie des actifs informatiques,
afin de s’assurer qu’ils répondent toujours aux exigences « métiers » et aux
exigences en matière de gestion des risques. Les entrepris es devraient surveiller
leurs actifs informatiques afin de vérifier s’ils sont bien pris en charge par leurs
fournisseurs ou développeurs internes ou externes et à ce que tous les correctifs et
mises à jour pertinents soient appliqués conformément au processus documenté.
Les risques découlant des actifs informatiques obsolètes ou non prises en charge
devraient être évalués et atténués. Les actifs informatiques inutilisés devraient être
traités et éliminés.
46. Les entreprises devraient mettre en œuvre des processus de planification et de
surveillance des performances et des capacités permettant de prévenir, détecter et
résoudre tout problème de performance important dans les systèmes de TIC, ainsi
que toute limite de capacité, dans un délai raisonnable.
47. Les entreprises devraient définir et mettre en œuvre des procédures de sauvegarde
et de restauration des données et des systèmes de TIC visant à assurer qu’ils
peuvent être récupérés en cas de besoins. Le périmètre et la fréquence des
sauvegardes devraient être définis conformément aux exigences de reprise des
activités et en fonction de la criticité des données et systèmes de TIC, et analysés
en fonction de l’évaluation des risques correspondante. Les procédures de
sauvegarde et de restauration devraient être testées à intervalles réguliers.
48. Les entreprises devraient veiller à ce que les sauvegardes des données et des
systèmes de TIC soient stockées de façon sécurisée dans un ou plusieurs endroits
suffisamment éloignés du site principal pour ne pas être exposés aux mêmes
risques.
Orientation 15 — Gestion des incidents et des problèmes liés aux TIC
49. Les entreprises devraient établir et mettre en œuvre un processus de gestion des
problèmes et incidents afin, d’une part, de surveiller et consigner les incid ents
opérationnels et de sécurité et, d’autre part, de poursuivre ou rétablir les fonctions
et processus « métiers » ayant une importance critique, après une perturbation.
50. Les entreprises devraient déterminer les critères et seuils appropriés pour classer
un événement en tant qu’incident opérationnel ou de sécurité, ainsi que les
indicateurs d’alerte proactive devant permettre la détection précoce desdits
incidents.
51. Afin de minimiser l’impact d’événements indésirables et de permettre une reprise
rapide des services, les entreprises devraient établir des processus et des structures
organisationnelles appropriés pour assurer une surveillance, un traitement et un
suivi cohérents et intégrés des incidents opérationnels et de sécurité et pour veiller
à ce que les causes originelles soient identifiées et éliminées afin d’empêcher la
réapparition des incidents. Le processus de gestion des incidents et des problèmes
devrait, à minima, établir :
a) les procédures visant à identifier, suivre, consigner, catégoriser et classer les
incidents par ordre de priorité, en fonction de leur criticité pour les métiers;
b) les rôles et responsabilités inhérents à différents types d’incidents (par
exemple les erreurs, les dysfonctionnements et les cyberattaques) ;
16/22Vous pouvez aussi lire
